AIだけを騙す『嘘のフォント』Noroboto攻撃とは

人間とAIに違う文章を見せるNoroboto攻撃のイメージ

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • 「Noroboto(ノロボト)攻撃」は、人間とAIにまったく違う文章を読ませる新しい手口です
  • 秘密は「嘘のフォント」。見た目は正しい契約書なのに、AIが読むと中身が書き換わっています
  • 2026年5月22日、米LegalQuantsの調査チームが発見して公表しました
  • ねらわれるのは契約書。「メリーランド州」が「デラウェア州」にすり替わる、といった改ざんが可能です
  • 防ぐカギは「画像として読み直す(OCR)」こと。日本のAI契約レビューにも関係する話です

「AIに契約書をチェックさせれば安心」。そう思ったことはありませんか? ところが、人間には正しく見える書類なのに、AIだけが別の内容を読んでしまう攻撃が登場しました。その名も「Noroboto(ノロボト)攻撃」。この記事を読むと、その仕組みと危険性、そして自分や会社を守る方法がわかります。

Noroboto攻撃とは?「人間とAIに違う文章を見せる」手口

Noroboto攻撃は、ひとことで言うと「文書のなりすまし」です。

目で見る文章と、AIが読み取る文章を、わざとズラします。

人間が画面で見る契約書は、まったく正常に見えます。ところが同じファイルをAIが解析すると、中身がこっそり別の言葉に入れ替わっているのです。

この攻撃は、2026年5月22日に米国の法律テック企業LegalQuantsの調査チーム(Drew Miller氏ら)が発見し、公表しました。

彼らはこれを「lexploit(レクスプロイト)」と呼んでいます。法律(law)と自動化(automation)のすき間に生まれる弱点、という意味の造語です。

なぜ「嘘のフォント」でだませるのか

カギは「フォント(文字の見た目のデータ)」

Noroboto攻撃の正体は、ファイルに埋め込まれた「嘘のフォント」です。

フォントとは、文字の形(グリフ)を決めるデータのことです。

実は文字には「見た目の形」と「文字コード(Unicodeという内部の番号)」という2つの顔があります。ふつうは形と番号がきちんと一致しています。

攻撃者はここに細工をします。「見た目はA、でも中身の番号はB」という、うそをつくフォントを作って書類に埋め込むのです。

2つのやり方がある

攻撃には大きく2種類あります。

  • 置き換え型:画面には「メリーランド州」と表示されるのに、AIが読む番号は「デラウェア州」。意味そのものがすり替わります
  • 文字化け型:文字を「私用領域(PUA)」という特別な番号に飛ばし、コピーすると「□□□」のような豆腐(トーフ)状の記号になります

より危険なのは置き換え型です。人間もAIも気づきにくく、いかにも自然に見えるからです。

なぜ契約書が一番ねらわれるのか

攻撃の標的は、とくに契約書です。理由は3つあります。

1つ目は、契約書ではフォントを埋め込むのが当たり前だからです。どのパソコンで開いてもレイアウトやページ番号がズレないように、あらかじめフォントを入れておきます。攻撃者はこの習慣を逆手に取ります。

2つ目は、契約書では1文字・1ページの違いが法的な意味を持つからです。金額や州名、日付が変われば、契約の中身がまるごと変わってしまいます。

3つ目は、AIの「手抜き」です。多くのAIは、書類を画像として見直さず、与えられた文字コードをそのまま信じて処理します。そこがすき間になります。

実際にどんな被害が想像できるのか

身近なシーンで考えてみましょう。

ある中小企業の法務担当者が、取引先から届いた契約書のPDFをAIレビューツールに読み込ませたとします。AIは「問題なし」と返しました。担当者も画面で確認し、正しい金額が書かれているのを見て署名しました。

ところがこの契約書には嘘のフォントが仕込まれていました。AIが読んだ「本当のデータ」では、支払期限や違約金の条件がこっそり変えられていたのです。人もAIも、それぞれ違う理由でだまされました。

ほかにも、こんな悪用が考えられます。

  • 採用の応募書類で、AIの自動チェックだけをすり抜けるように経歴を偽装する
  • 行政や金融の申請書で、審査AIには有利な数字を、人間の目には正規の数字を見せる
  • 社内規定やマニュアルを、AIアシスタントにだけ誤った内容として学習させる

ほかのAI攻撃と何が違うのか

「見えない文字でAIをだます」攻撃は、実はほかにもあります。代表的なものと比べてみましょう。

  • 不可視文字(ゼロ幅文字)による攻撃:人間には見えない透明な文字にAIへの命令を隠す手口。メールに潜ませて、AIアシスタントだけを操ります
  • ホモグリフ攻撃:見た目がそっくりな別の文字(キリル文字のaなど)に置き換えて、フィルターをすり抜けます
  • 双方向テキスト(Bidi)の悪用:文字の表示順をひっくり返し、人とプログラムに違う並びを見せます

これらの多くは「人間には普通に見せて、AIに隠し命令を送る」タイプです。

Noroboto攻撃はその逆に近い発想です。正しい書類を人間に見せながら、AIには中身をすり替えて読ませます。フォントという「文字の土台」そのものにうそをつかせる点が、新しくて厄介なところです。

防ぐ方法はあるのか

安心してください。対策も研究が進んでいます。

もっとも効果的なのは、すべての書類をいったん画像にして読み直す(レンダリング+OCR)ことです。OCRとは、画像から文字を読み取る技術のことです。実際の見た目から文字を起こせば、嘘のフォントは通用しません。

そのほかの対策も紹介します。

  • Word文書などで埋め込みフォントをブロックする
  • フォントの「見た目」と「文字コード」が一致しているか自動で検証する

実際、Tritiumという企業はRust言語で検証ツールを公開しました。フォントの見た目をOCRで読み取り、内部の文字コードとどれだけ一致するかを点数化します。ズレがあれば「あやしいフォント」として警告する仕組みです。

ただし、万能の対策はまだありません。攻撃側も、最新の高性能AIでないと解けない暗号のような細工を使い始めています。防御と攻撃の追いかけっこは続きそうです。

日本のユーザー・企業への影響

「海外の話でしょ?」と思うかもしれません。ですが、日本にとっても他人ごとではありません。

いま日本でも、AIで契約書をチェックするサービスが急速に広がっています。法務の人手不足を補う「リーガルテック」として、多くの企業が導入を進めています。

日本語の書類は、ふりがな(ルビ)や特殊な明朝・ゴシック体など、フォントを埋め込む場面がとても多いです。つまり、嘘のフォントを仕込む余地も大きいと考えられます。

対策はシンプルです。「AIの判断だけを信じきらない」こと。大事な契約は、AIチェックに加えて、印刷やPDFの見た目を人の目でも確認する。この二重チェックが、当面もっとも現実的な守り方になりそうです。

よくある質問(FAQ)

Q1. Noroboto攻撃は、普通のパソコンでも被害に遭いますか?
はい。特別なソフトは不要で、細工したフォント入りの文書ファイルを開くだけで成立します。ただし被害が大きいのは、その文書をAIに自動処理させる場合です。

Q2. 自分で見破ることはできますか?
見た目はほぼ正常なので、目視だけで気づくのは困難です。文字をコピーして貼り付けたとき、文字化けや不自然な記号が出たら要注意のサインです。

Q3. AIが賢くなれば防げますか?
最新の高性能AIは一部の細工を見破れることもあります。しかし攻撃も進化しており、AIの賢さだけに頼るのは危険です。OCRなどの仕組みでの対策が必要です。

Q4. 個人がすぐできる対策は?
出所の不明な文書ファイルを安易にAIへ入力しないことです。重要な書類は、見た目とコピーした中身の両方を確認しましょう。

まとめ

今回の要点を振り返ります。

  • Noroboto攻撃は「人間とAIに違う文章を読ませる」新しい手口
  • 正体は、見た目と文字コードでうそをつく「嘘のフォント」
  • 2026年5月22日に米LegalQuantsが発見・公表
  • とくに契約書がねらわれ、州名や金額のすり替えが可能
  • 最強の対策は「画像にして読み直す(OCR)」こと
  • AI契約レビューが広がる日本にも関係する話

まずは「AIの読み取りを100%は信じない」という意識を持つことから始めてみてください。それが、あなたと会社を守る第一歩になります。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です